Una filtración de bases de datos revela 184 millones de correos electrónicos y contraseñas extraídos por un ladrón de información.

El investigador de ciberseguridad Jeremiah Fowler descubrió un servidor en la nube mal configurado que contenía 184 millones de credenciales de inicio de sesión, probablemente recopiladas mediante malware infostealer.

El investigador de ciberseguridad Jeremiah Fowler descubrió una base de datos mal configurada y desprotegida que contiene más de 184 millones de nombres de usuario y contraseñas únicos. Según la investigación de Fowler, compartida con Hackread.com, esta colección expuesta ascendía a aproximadamente 47,42 gigabytes de datos.

La base de datos, que no estaba protegida con contraseña ni cifrado, almacenaba credenciales de numerosos servicios en línea, entre ellos proveedores de correo electrónico populares, importantes plataformas tecnológicas como Microsoft y redes sociales como Facebook, Instagram, Snapchat y Roblox.

Peor aún, la filtración también contenía información de acceso a cuentas bancarias, plataformas de salud e incluso portales gubernamentales de varios países, lo que ponía en gran riesgo a personas desprevenidas. Fowler confirmó la autenticidad de algunos registros contactando a las personas cuyos correos electrónicos se encontraron en la base de datos. Varias personas verificaron que las contraseñas indicadas eran correctas y válidas.

Tras descubrirlo, Fowler notificó rápidamente al proveedor de alojamiento, y la base de datos fue retirada del acceso público. La dirección IP de la base de datos apuntaba a dos nombres de dominio, uno de los cuales parecía no estar registrado. Debido a la privacidad de los datos de registro, se desconoce el verdadero propietario de este caché de datos.

Tampoco está claro cuánto tiempo estuvo expuesta esta información confidencial ni si otros actores maliciosos accedieron a ella antes de su descubrimiento. Dado que el proveedor de alojamiento no reveló los datos del cliente, el propósito de la recopilación de datos no se ha determinado si se trató de una actividad delictiva o de una investigación legítima con supervisión.

Al parecer, la base de datos pertenecía a ciberdelincuentes que recopilaban datos mediante ladrones de información y, en el proceso, expusieron su propia base de datos. Los ladrones de información son herramientas ampliamente utilizadas y eficaces entre los delincuentes. De hecho, informes han demostrado que incluso el ejército estadounidense y el FBI han visto sus sistemas comprometidos por ladrones de información con un coste de tan solo 10 dólares.

El malware Infostealer está diseñado específicamente para recopilar en secreto información confidencial de computadoras infectadas, generalmente apuntando a credenciales de inicio de sesión almacenadas en navegadores web, programas de correo electrónico y aplicaciones de mensajería.

El informe de Hackread.com sobre la reciente acción coordinada de Microsoft y Europol para interrumpir la infraestructura de Lumma Stealer , que infectó más de 394.000 computadoras con Windows en todo el mundo, ofrece una visión crítica del tipo de amenaza resaltada por el descubrimiento de Fowler.

Según el análisis de Fowler, los datos, a menudo credenciales sin procesar y URL de páginas de inicio de sesión, coinciden perfectamente con el objetivo de robo de información de ladrones como Lumma. Aunque Fowler no pudo identificar con certeza el malware específico responsable de la base de datos expuesta, las características de los datos sugieren firmemente dicho método.

Que los ciberdelincuentes expongan sus propios servidores no es nada nuevo. Hace apenas unos meses, informes revelaron que los conocidos grupos de hackers ShinyHunters y Nemesis colaboraron para acceder y extraer datos de buckets de AWS expuestos , solo para filtrar accidentalmente los suyos en el proceso.

La disponibilidad de millones de datos de acceso representa una gran ventaja para los ciberdelincuentes, quienes pueden explotarlos mediante métodos como el robo de credenciales y el robo de cuentas . Estos ataques permiten a los delincuentes acceder a datos personales, lo que facilita el robo de identidad o el fraude financiero.

Los datos expuestos también pueden incluir credenciales comerciales, lo que supone riesgos de espionaje corporativo, e incluso redes estatales sensibles. Conocer un correo electrónico y una contraseña antigua puede hacer que los ataques de phishing e ingeniería social sean más convincentes.

Fowler insta a los usuarios a dejar de usar sus correos electrónicos como almacenamiento en frío, actualizar periódicamente sus contraseñas, especialmente en casos de infracciones desconocidas, nunca reutilizar contraseñas únicas en diferentes cuentas, utilizar la autenticación de dos factores (2FA) y habilitar las notificaciones de inicio de sesión o alertas de actividad sospechosa.